[CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

angel jauregui darkdiabliyo en gmail.com
Lun Mar 30 18:02:52 UTC 2015


Solucionado:

iptables -A INPUT -s MI.ip -p tcp -j ACCEPT
iptables -A INPUT -s MI.ip -p udp -j ACCEPT
iptables -A INPUT -s MI.ip -p icmp -j ACCEPT

Ya puedo consultar de mi server hacia afuera...

Saludos !

El 30 de marzo de 2015, 13:01, angel jauregui <darkdiabliyo en gmail.com>
escribió:

> La regla que hice para evitar problemas es que la politica OUTPUT sea
> ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos
> tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.
>
> Pero OJO, veo que el server jala todo bien, el problema que veo ahora es
> DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer
> reglas tambien para conexion de adentor hacia afuera.
>
> Vere el link :D
>
> Saludos !
>
> El 30 de marzo de 2015, 12:54, José Roberto Alas <jrobertoalas en gmail.com>
> escribió:
>
>> El 29 de marzo de 2015, 7:56 p. m., angel jauregui
>> <darkdiabliyo en gmail.com> escribió:
>> > Pues para empezar visiblemente las reglas estan bien, pero cuando
>> levanto
>> > el firewall los puertos pasan de "open" a "filtered", y no permite
>> conectar
>>
>> Muy interesante esta explicación, espero te sirva
>>
>> http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap
>>
>> > :(
>> >
>> > El SSH si lo tengo abierto, pero lo omiti en mis reglas....
>> >
>> > De momento estoy haciendo pruebas en una *VirtualBox* y como les
>> comente,
>> > las reglas no tiran error, pero me deja los puertos filtrados, en fin,
>> > inaccesible el servicio :(
>> >
>> > Saludos !
>> >
>> > El 28 de marzo de 2015, 18:15, José Roberto Alas <
>> jrobertoalas en gmail.com>
>> > escribió:
>> >
>> >> 2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabliyo en gmail.com>:
>> >> > jajajajaja la volvi a regar.... hay va de nuez:
>> >> >
>> >> > # denegamos todo
>> >> > iptables -P INPUT DROP                                # cancelamos
>> >> entrada
>> >> > iptables -P OUTPUT DROP                               # cancelamos
>> >> salidas
>> >> > iptables -P FORWARD DROP                      # cancelamos reencios
>> >> > iptables -t nat -P PREROUTING DROP            # cancelamos nat
>> prerouting
>> >> > iptables -t nat -P POSTROUTING DROP           # cancelamos nat
>> >> postrouting
>> >> >
>> >> > echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
>> >> reenvio
>> >> >
>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> > 80 -j ACCEPT
>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> > 443 -j ACCEPT
>> >> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >>
>> >> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
>> >> acceso, para que no te desplaces hasta el equipo fisico.
>> >>
>> >> No esta de mas permitir el acceso por SSH, para administrar el server
>> >>
>> >> >
>> >> > El 27 de marzo de 2015, 20:37, angel jauregui <
>> darkdiabliyo en gmail.com>
>> >> > escribió:
>> >> >
>> >> >> Rayos... se copio y pego doble :S... hay va corregido:
>> >> >>
>> >> >> # denegamos todo
>> >> >> iptables -P INPUT ACCEPT                                # cancelamos
>> >> >> entrada
>> >> >> iptables -P OUTPUT ACCEPT                               # cancelamos
>> >> >> salidas
>> >> >> iptables -P FORWARD ACCEPT                      # cancelamos
>> reencios
>> >> >> iptables -t nat -P PREROUTING ACCEPT            # cancelamos nat
>> >> >> prerouting
>> >> >> iptables -t nat -P POSTROUTING ACCEPT           # cancelamos nat
>> >> >> postrouting
>> >> >>
>> >> >> echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
>> >> >> reenvio
>> >> >>
>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >> --dport
>> >> >> 80 -j ACCEPT
>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >> --dport
>> >> >> 443 -j ACCEPT
>> >> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >> >>
>> >> >> El 27 de marzo de 2015, 20:36, angel jauregui <
>> darkdiabliyo en gmail.com>
>> >> >> escribió:
>> >> >>
>> >> >> Buen dia lista :D
>> >> >>>
>> >> >>> Quiero montar un firewall configurado por defecto en DROP y abrir
>> solo
>> >> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no
>> quiero
>> >> >>> cagarla y quedarme sin conexion jejejej :D
>> >> >>>
>> >> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto,
>> de
>> >> >>> modo
>> >> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>> >> >>> checarlas y me den sus criticas:
>> >> >>>
>> >> >>> iptables -F
>> >> >>> iptables -X
>> >> >>> iptables -Z
>> >> >>> iptables -t nat -F
>> >> >>>
>> >> >>> # denegamos todo
>> >> >>> iptables -P INPUT ACCEPT                                #
>> cancelamos
>> >> >>> entrada
>> >> >>> iptables -P OUTPUT ACCEPT                               #
>> cancelamos
>> >> >>> salidas
>> >> >>> iptables -P FORWARD ACCEPT                      # cancelamos
>> reencios
>> >> >>> iptables -t nat -P PREROUTING ACCEPT            #iptables -F
>> >> >>> iptables -X
>> >> >>> iptables -Z
>> >> >>> iptables -t nat -F
>> >> >>>
>> >> >>> # denegamos todo
>> >> >>> iptables -P INPUT ACCEPT                                #
>> cancelamos
>> >> >>> entrada
>> >> >>> iptables -P OUTPUT ACCEPT                               #
>> cancelamos
>> >> >>> salidas
>> >> >>> iptables -P FORWARD ACCEPT                      # cancelamos
>> reencios
>> >> >>> iptables -t nat -P PREROUTING ACCEPT            # cancelamos nat
>> >> >>> prerouting
>> >> >>> iptables -t nat -P POSTROUTING ACCEPT           # cancelamos nat
>> >> >>> postrouting
>> >> >>>
>> >> >>> echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
>> >> >>> reenvio
>> >> >>>
>> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >> >>> --dport
>> >> >>> 80 -j ACCEPT
>> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >> >>> --dport
>> >> >>> 443 -j ACCEPT
>> >> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >> >>>
>> >> >>> Saludos !
>> >> >>>
>> >> >>> --
>> >> >>> M.S.I. Angel Haniel Cantu Jauregui.
>> >> >>>
>> >> >>> Celular: (011-52-1)-899-871-17-22
>> >> >>> E-Mail: angel.cantu en sie-group.net
>> >> >>> Web: http://www.sie-group.net/
>> >> >>> Cd. Reynosa Tamaulipas.
>> >> >>>
>> >> >>
>> >> >>
>> >> >>
>> >> >> --
>> >> >> M.S.I. Angel Haniel Cantu Jauregui.
>> >> >>
>> >> >> Celular: (011-52-1)-899-871-17-22
>> >> >> E-Mail: angel.cantu en sie-group.net
>> >> >> Web: http://www.sie-group.net/
>> >> >> Cd. Reynosa Tamaulipas.
>> >> >>
>> >> >
>> >> >
>> >> >
>> >> > --
>> >> > M.S.I. Angel Haniel Cantu Jauregui.
>> >> >
>> >> > Celular: (011-52-1)-899-871-17-22
>> >> > E-Mail: angel.cantu en sie-group.net
>> >> > Web: http://www.sie-group.net/
>> >> > Cd. Reynosa Tamaulipas.
>> >> > _______________________________________________
>> >> > CentOS-es mailing list
>> >> > CentOS-es en centos.org
>> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >
>> >>
>> >>
>> >> --
>> >> Saludos,
>> >> cheperobert
>> >> _______________________________________________
>> >> CentOS-es mailing list
>> >> CentOS-es en centos.org
>> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >>
>> >
>> >
>> >
>> > --
>> > M.S.I. Angel Haniel Cantu Jauregui.
>> >
>> > Celular: (011-52-1)-899-871-17-22
>> > E-Mail: angel.cantu en sie-group.net
>> > Web: http://www.sie-group.net/
>> > Cd. Reynosa Tamaulipas.
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>>
>>
>>
>> --
>> Saludos,
>> cheperobert
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.


Más información sobre la lista de distribución CentOS-es